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(§4) PROCEDE D'AUTH ENTIFICATION A NOMBRE REDUIT DE BITS TRANSMIS. 

(57) Procede d'authentification a nombre reduit de bits 
tfSnsmis. 

On reduit considerablement le nombre de bits de ('enga- 
gement envoye par Pentite a authentifier mais on augmente 
de quelques unites seulement le nombre de bits de ('ele- 
ment tire par I'entite authentifiante. 

Application aux precedes d'authentification dits a 
connaissance nulle. 
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PROCEDE D 'AUTHENTIFICATION 
A NOMBRE REDUIT DE BITS TRANSMIS 

Domaine technique 

Ml La P r6sent * invention a pour objet un 
Precede d- authentification a nombre reduit de bits 
rans mis Elle trouve ung 

cryptographs dite a cle P ubli que . Da ns de tels 
precedes, une entite * authentifier possede une cle 
■o secrete et une cle publique associee. Une entite 
authentifiante a uniquement besoin de cette 
publique pour realiser 1 ■ authentification. 

encore 1, ri L ' inVenti ° n COncerne Pl«- precisement 
encore le domaine des precedes d- authentification A 
15 connaissance nulle ("zero- knowledge", Cela slaZ 

% r entification se — ~ " ~ e 

ToL T Pr ° UV6e ' 6t S ° US d6S h ^theses reconnues 

scLtifW 6nt . P« la communaute 

scientifique, ne revele rien sur la cle secrete Ho 
20 i'entite a authentifier. ^ de 

tous i es L,i r nti ° n UnS application dans. 

enti tes H " n6ceSsit ant d- authentifier des 

oil I meSSa9eS ' ° U de Signer des —ges, et 

Plus particulierement dans les syste.es oU le noL de 
-5 bats transits constitue un parametre critique. 

Etat de la technique anterieure 

j , . . DanS tous protocoles CO nnus 

0 au hi: 1 1C3ti0n * ce nulle, 1'entite I 

authentifier cogence par fournir a I'entite 
authentifiante un ou plusieurs "engagements" (notes c 
cu eventuellement X) fonctions de parages chlisis au 
hasard par 1'entite a authentifier. 

Dans un deuxieme temps, l'-nni-* 
authentifiante envoie a 1W<^ • ^ 

a l entite a authentifier un 
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parametre ou "element" note e choisi au hasard (la 
"question"). Dans un troisieme temps, l'entite a 
authentifier fournit a l'entite authentif iante un 
resultat correspondant y coherent avec le ou les 
engagement (s) x ou c. 

Dans ces applications, il est souvent 
important que le nombre total de bits transmis soit 
aussi petit que possible, afin notamment de reduire le 
temps de la communication et, dans certaines variantes 
des protocoles de base (decrites plus loin), de reduire 
le nombre de bits a stocker. 



Le but de 1 ' invention est de reduire de 
facon importante le nombre total de bits transmis dans 
la plupart des protocoles d- identification connus, tout 
en conservant le meme niveau de securite. Plus 
precisement, 1- invention minimise le nombre de bits 
transmis dans le sens ou, de facon prouvee, il est 
impossible de reduire encore ce nombre sans diminuer le 
ruveau de securite fourni par le protocole auquel on 
l'applique. Pour certains protocoles (par exemple celui 
de FIAT-SHAMIR (1) cette minimisation a un prix, a 
savoir 1' augmentation du nombre de secrets que l'entite 
a authentifier doit detenir, ainsi qu'une augmentation 
proportionnelle non negligeable du nombre de calculs a 
effectuer. Pour d'autres (notamment ceux de SCHNORR (3) 
et de GUILLOU-QUISQUATER (4)), cette minimisation 
n'aggrave de facon sensible aucune autre 
caracteristique et s'avere done particulierement 
30 int6ressante. 

A titre d' exemple, 1' invention permet 
d'economiser environ 18% des bits transmis dans le 
protocole d'identification de SCHNORR (3), pour des 
choix classiques de longueurs de parametres universels 
35 et de niveaux de s§curit<§. 
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De fagon g£nerale, la plupart des 
protocoles d 1 identification a connaissance nulle 
existants, se d£roulent en trois ^changes, qui vont 
etre d6crits. On suppose, afin de simplifier la 
description, que 1 ? entity authentif iante B connalt d£j& 
tous les parametres publics caract£ristiques de 
1 T entity a authentif ier A (identity, cl§ publique, 
etc.) et n£cessaires a son identification. 

Lors du premier echange, A fournit k B un 
ou plusieurs engagements c. Lors du second ^change, B 
envoie a A l f £16ment e. Lors du troisieme ^change, A 
fournit a B le r£sultat y correspondant & l'616ment e, 
coherent avec le ou les engagement (s) c. Dans certains 
protocoles, il y a deux echanges supplement a ires entre 
A et B, consistant en un element et un rdsultat de 
plus. C'est le cas du protocole de Shamir (2). 

Le nombre u de questions possibles est 
directement reli6 au niveau de s£curite du protocole. 
Plus pr£cisement, on peut montrer que, si le protocole 
repose sur un probleme math£matique difficile, et si 
les engagements sont de longueur suffisante (ou la 
longueur designe le nombre.de bits), alors le niveau de 
securite, que l'on d£finit ici comme la probability de 
detection d f un imposteur (c ■ est-a-dire d'une entite C 
qui tente f rauduleusement de se f aire passer pour A) , 
est egal a l-(l/u) . 

Souvent, on cherche a rendre le nombre de 
bits transmis au cours du premier echange aussi faible 
que possible (les engagements sont aussi courts que 
possible), de facon a r£duire le temps et le coQt de 
1 'authentication. Cependant, il peut §tre d£montr£ 
que la longueur d T un engagement ne peut etre choisie 
sous un certain seuil sans contrepartie, sauf a 
amoindrir le niveau de securite du protocole. Ce seuil 
depend de 1 f environnement et plus particulierement du 
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norabre d 1 operations elementaires repute "impossible en 
pratique" a ex£cuter en un temps et avec des moyens 
informatiques se situant l'echelle humaine". De 

fagon traditionnelle, ce norabre est souvent pris 6gal & 
2 64 auquel cas le seuil 6voqu6 ci-dessus est d' environ 
128. Pour des raisons de commodity, c'est ce choix qui 
sera fait dans la description qui suit, mais cette 
description pourrait facilement etre adapt£e & d'autres 
choix. 

Avec ce choix, la limite des 128 bits pour 
c ne peut §tre franchie sans nuire a la s£curite. En 
particulier, une longueur d ! engagement de 64 bits 
seulement permet & l'imposteur de (au minimum) doubler 
la probability de r§ussite de son imposture, et meme, 
dans certains cas, de rendre cette probability §gale & 
1. 

L* invention permet de franchir la limite de 
128 bits pour les engagements (jusqu'a environ 70 
bits), sans pour autant diminuer le niveau de security. 
D'apr£s ce qui a 6t6 expose plus haut, ceci est 
impossible si le reste du protocole est inchang£ : il y 
a done necessairement une contrepartie. L'int£ret de 
1' invention est que cette contrepartie est mineure : il 
suffit d'augmenter legerement le nombre u de questions 
possibles, ce qui, en pratique, se traduit par une 
augmentation de trois ou quatre bits de la longueur de 
e. 

Expose de l 1 invention 

L 1 invention consiste done a diminuer de 
facon importante la longueur des engagements (d T environ 
60 bits) et augmenter legerement la longueur des 
questions (de 3 ou 4 bits), le protocole modifiy 
suivant I 1 invention ayant exactement le meme niveau de 
security que le protocole non modifiy. 
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L 1 invention s f applique egalement aux 
sch6mas d' authentication de messages et 
eventuellement de signatures num&riques de messages, 
sous certaines conditions explicitees par la suite. 

De fagon precise, 1' invention a pour objet 
un proc6de d' authentication a nombre r6duit de bits 
transmis, entre une premiere entity dite £ authentifier 
et une seconde entity dite authentifiante, ce proc6d6 
comprenant les operations suivantes : 

a) l f entit6 a authentifier choisit au hasard un 
nombre entier r, calcule un nombre appel6 
engagement x ou c fonction du nombre entier r et 
envoie cet engagement x ou c k l'entite 
authentifiante, cet engagement comprenant un 
certain nombre de bits, 

b) l'entit6 authentifiante regoit l'engagement x ou 
c, choisit au hasard un nombre e dans un certain 
intervalle, ce nombre etant appel6 n 61§ment" et 
ayant un certain nombre de bits et envoie cet 
element e a l'entite a authentifier, 

c) 1' entity a authentifier regoit 1 T element e, 
effectue un calcul utilisant cet element e et 
envoie le resultat y a l'entite authentifiante, 

d) l'entite authentifiante recoit le resultat y, 
effectue un calcul utilisant le resultat y et 
verifie que le resultat de ce calcul est 
identique a l'engagement recu x ou c auquel cas 
la premiere entite est authentifi£e ; 

un niveau de security egal a 1 - pouvant §tre 

defini pour cette authentif ication, & supposer que 
l'engagement x ou c possede un certain nombre minimum N 
de bits et l 1 616ment e un certain nombre k de bits, 
ce procede etant caracterise par le fait que : 
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le nombre de bits de 1 1 engagement x ou c est pris 
tr6s inferieur a N ; 

le nombre de bits de l 1 element e est pris un peu 
supferieur & k ; 
5 le niveau de security restant alors le m§me. 

Expose detains de modes de realisation 

La definition pr6c6dente de 1' invention 
s' applique notamraent a trois protocoles connus, qui 
10 vont maintenant §tre d6crits a titre d'exeraples non 
limitatifs, 4 savoir, respectivement, le protocole de 
SCHNORR, celui de GUILLOU-QUISQUATER et celui de FIAT- 
SHAMIR. 

15 1) PROTOCOLE DE SCHNORR 

Le protocole d f identification de CP. 
SCHNORR (3) est basfe sur la difficulty de calculer des 
logarithmes discrets. Les param&tres universels (c'est- 
a-dire ceux partag£s par tous les utilisateurs) sont : 
20 - un grand nombre premier p, 

- un nombre premier g tel que g soit un nombre 

premier divisant p-1 ou soit §gal a p-1, 

- un entier a (la "base") tel que a<?=l (mod p) , 

- un petit entier k. 

25 

Les longueurs recommand6es pour n et g sont 
respectivement (au raoins) de 512 bits et 140 bits ; k 
determine le nombre u de questions possibles par la 
relation u=2*. Une valeur typique de k est 40 (ou 72 
30 pour le schema de signature correspondant) . 

La cl£ secrete d'un utilisateur est un 
entier s pris dans l'intervalle {l...g}. Sa cl£ 
publique est v=a~ 5 (mod p) . Le protocole est le 
suivant : 
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a) L'entite a authentif ier choisit au hasard un 
entier r dans l'intervalle {l...g}, calcule 

x=ct r (mod p) et envoie x au verificateur . 

b) L 1 entity authentif iante choisit au hasard un 
Element e dans l'intervalle {0...2*-!} et envoie 
e a 1' entity ci authentif ier . 

c) L' entity ci authentif ier calcule y=r+se (mod q) et 
envoie y & l'entit£ authentifiante. 

d) L'entite authentif iante controle que 
x=ay^ e (mod p) . 

On remarque qu'un imposteur (qui ignore s) 
peut facilement tromper une entitfe authentif iante avec 
une probabilite egale a 2~*, en choisissant un entier 
y, un element e et en calculant x comme & l f 6tape d) . 
Comme on peut prouver que, si le probl£me du logarithme 
discret est difficile, il ne peut substantiellement 
ameliorer cette probabilite, le niveau de security est 
done £gal & 1-2"*. 

Afin de diminuer le nombre de bits 
transmis, I'auteur du protocole a sugg6r§ d'envoyer k 
l r £tape a) 1' engagement c-h(x) ou h est une fonction 
pseudo-al€atoire. L 1 equation de verification de l'6tape 
d) devient alors : 

c=h(ayv^(mod p) ) . 
Afin de conserver un niveau de s£curit§ 
6gal a 1-2"*, il est n6cessaire, toutes choses 6gales 
par ailleurs, que la longueur de c soit au moins de 128 
bits. 

Dans le protocole modifi6 selon 
1' invention, la longueur de 1' engagement de c est 
r^duite par exemple a 70 bits et cette reduction est 
compensGe par une augmentation de la longueur de e de 
trois bits seulement. Une autre possibility est de 
choisir 69 bits pour c et quatre bits d 1 augmentation 



2752122 



pour e. II peut alors etre demontr6 que le niveau de 
securite du protocole ainsi modifie reste egal a 1-2"*. 
On a ainsi r6duit le nombre total de bits transmis de 
55 bits. Si l f on prend ic=40, alors ce nombre total est 
5 6gal & : 70+ (40+3) +160=273 au lieu de 128+40+160=328 
avec des engagements de 128 bits, soit un . gain 
d f environ 18%. 

L 1 invention est particuli&rement bien 
adapt£e & ce protocole, en ce sens qu'elle n'entralne 

10 aucun changement des paramdtres universels principaux, 
a savoir p, q, a, ni meme des param^tres individuels 
(cles secrete et publique de 1 'utilisateur) . De plus, 
elle est particuli^rement utile dans un mode 
d'utilisation particulier de ce protocole, qui consiste 

15 & stocker par avance les engagements. Ce mode 
d'utilisation est utilise lorsque le dispositif de 
security de l'entite & authentifier ne dispose pas des 
ressources lui permettant d'effectuer des operations 
modulo un nombre de 512 bits (premier cas), ou bien les 

20 effectue en un temps trop §lev£ pour que I'etape a) 
puisse etre ex6cutee au moment meme de 
l f authentification (deuxieme cas). 

Dans le premier cas, les engagements sont 
calculus par une autorit6 de confiance puis stockes 

25 dans la carte : le dispositif ne peut alors etre 
authentifi6 qu'un nombre limite de fois, egal au nombre 
d' engagements stockes. Cependant, lorsque ce nombre est 
atteint, il peut, par une procedure de rechargement 
d'engagements (£ventuellement a distance), §tre a 

30 nouveau capable d'effectuer des authentif ications . Dans 
le deuxieme cas, les engagements sont calcules par le 
dispositif de l'entite a authentifier prealablement a 
1 T authentification. Dans les deux cas, afin de ne pas 
avoir a stocker les nombres aleatoires r 

35 correspondants, ces nombres sont avantageusement 
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produits par un generateur pseudo-al6atoire contenu 
dans le dispositif de security de l'entite & 
authentifier. 

A titre d'exemple, si le dispositif de 

5 security de l'entite k authentifier est une carte h 
microprocesseur standard, alors l f 6tape a) ne peut §tre 
r£alis6e en un temps satisfaisant par la carte et meme, 
dans certains cas, ne peut etre r6alis§e du tout. II 
est alors n§cessaire de recourir au mode d'utilisation 

10 evoqu6 ci-dessus, et il est tres avantageux d'utiliser 
1' invention, qui ne requiert que le stockage de 70 bits 
pour une authentif ication. Si l'on peut disposer de 
IKoctet de m^moire reprogrammable a cette fin, alors la 
carte pourra effectuer 117 authentif ications, apr£s 

15 quoi il faudra recharger de nouvelles valeurs 
d 1 engagements . 

Cette variante est encore plus intferessante 
dans le cas du protocole d6crit dans la demande de 
brevet frangais n°94 01271 du 4 f6vrier 1994 intitulfee 

20 "Proc6d£ de signature num^rique et d' authentif ication 
de messsages utilisant un logarithme discret", car, 
dans ce protocole, l'£tape c) ne contient pas 
d' operation modulo, ce qui fait que ce type d f operation 
n T a pas besoin d'etre r£alis6e dans la carte a 

25 microprocesseur. 

2) PROTOCOLE GUILLOU-QUISQUATER 

Le protocole d' identification de GUILLOU et 
QUISQUATER (4) est base sur la difficult^ de factoriser 
30 des grands entiers. Dans la version dite "bas§e sur 
l f identity" de ce protocole, une autoritS de confiance 
est utilisee pour calculer les cl£s secretes des 
utilisateurs. Les parametres universels sont : 
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- un grand entier non premier n (dont les facteurs 
premiers sont connus uniquement de l'autorit£ de 
conf iance) , 

- un entier premier u de nombre de bits k. 

5 La taille recommandee pour n est au minimum 

de 512 bits* Une valeur typique de k est 40 bits (ou 72 
pour le schema de signature correspondant) . 

La cl6 publique de l f entity & authentifier 
est sont "identity" (c ? est-a-dire une chaine binaire I 
10 contenant des informations a son propos et/ou & propos 
de son dispositif de s£curite) . Sa cl£ secrete est la 
valeur s telle que s u I=l (mod n) . 

Le protocole de base est le suivant : 

a) L f entity &' authentifier choisit au hasard un 
15 entier r dans I'intervalle {0..n}, calcule 

x=r u (mod n) et envoie x a l'entite 
authentif iante, 

b) 1 ? entity authentif iante choisit au hasard un 
<§16ment e dans l'intervalle {0, u-1} et envoie e 

20 a l'entite a authentifier, 

c) 1' entity a authentifier calcule y=rs e (mod n) et 
envoie y a I 1 entity authentif iante, 

d) l'entite authentif iante controle que : 

x=y u I e (mod n) . 

25 

On remarque qu'un imposteur (qui ignore 5) 
peut facilement tromper une entite authentif iante avec 
une probability egale a 1/u, en choisissant un entier 
y, un Element e et en calculant x comme dans I'etape d. 
30 Comme on peut prouver que, si le probl£me de la 
factorisation est difficile, il ne peut 
substantiellement ameliorer cette probability, le 
niveau de security est done egal a l-(l/u), qui est de 
l'ordre de 1-2"*. 
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Afin de diminuer le. nombre de bits 
transmis, on peut envoyer a l'etape a) 1' engagement 
c=h{x) ou h est une fonction pseudo-aleatoire . 
L f equation de verification de l'6tape d) devient 
5 alors : 

c=h (y u I e (mod n) . 
Afin de conserver un niveau de security du 
protocole de base §gal a 1-2"*, il est nkessaire, 
toutes choses egales par ailleurs, que la longueur de c 

10 soit au moins de 128 bits. 

Dans le protocole modifi6 selon 
1' invention, la longueur de c est r£duite par exemple & 
70 bits et cette reduction est compensGe par une 
augmentation de la longueur de e de trois bits 

15 seulement, ce qui implique une augmentation d'autant de 
la longueur de u. Une autre possibility est de choisir 
69 bits pour c et quatre bits d f augmentation pour e. II 
peut alors etre d£montr6 que le niveau de security du 
protocole de base ainsi modifie reste §gal & 1-2"*. On 

20 a ainsi r£duit le nombre total de bits transmis de 55 
bits. Si l'on prend £=40, alors ce nombre . total est 
egal a 70+ (40+3) +512=625 au lieu de 128 + 40+512=680 avec 
des engagements de 128 bits, soit un gain d 1 environ 8%. 

Les variantes d^crites dans le cas du 

25 protocole de SCHNORR sont encore applicables ici,. mais 
sont moins int£ressantes en ce sens que l f 6tape c) 
consiste en une operation modulaire iraportante qui, 
contrairement a celle de l'etape a), ne peut §tre 
effectu£e & l'avance. 

30 

3°) PROTOCOLE FIAT-SHAMIR 

Le protocole d 1 identification de FIAT et 
SHAMIR (1) est bas£ sur la difficult* de factoriser des 
grands entiers. Dans la version dite "bas€e sur 
35 1' identity" de ce protocole, une autorit* de confiance 
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est utilisee pour calculer les cl£s secretes des 
utilisateurs. Les parametres universels sont : 
. - un grand entier non premier n (dont les facteurs 
premiers sont connus uniquement de l'autoritG de 
5 conf iance) , 

- deux petits entiers k et t, 

- une fonction pseudo-aleatoire f. 

La taille. recommandee pour n est au minimum 
de 512 bits. Les valeurs de k et t sont ttroitement 
10 reliees au niveau de securite du protocole (corame il 
sera dScrit plus loin) ; le nombre u de questions 
possibles et le param6tre k sont relics par la relation 
u=2*. Des valeurs typiques de k et t sont 8 et 5 (ou 9 
et 8 pour le schema de signature correspondant) . 
15 La cle publique de 1 T entity a authentifier 

est son "identity" (c 1 est-a-dire une chaine binaire I 
contenant des informations a son propos et/ou £ propos 
de son dispositif de s6curit§) . Sa cle secrete est 
constitute de k valeurs Sj calculees comme suit : soit 
20 vj=f{lj) pour k petites valeurs de j telles que vj est 
un carr6 dans 1' ensemble des entiers modulo n (pour la 
commodity de la description, on supposera que j=l..Jr). 
Alors Sj 2 Vj=l(mod n) pour toute valeur de j. 

Le protocole de base est le suivant : 
25 a) I 1 entity & authentifier choisit au hasard un 

entier r dans l'intervalle {0..n}, calcule 
x=r 2 (mod n) et envoie x a l 1 entity 
authentif iante, 

b) l'entitt authentif iante choisit au hasard un 
30 61£ment e=(e2, e2t •••/ e^) dans {0,1}* et envoie 

e a 1' entity a authentifier, 

c) 1'entitG a authentifier calcule y=.r]"J sj (mod n) 

et envoie y a 1» entity authentif iante, 
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d) 1 ? entity authentif iante calcule tous les Vj et 
controle que : x=y 2 J"J vj (mod n) . 

On remarque qu'un imposteur (qui ignore s) 
peut facilement tromper une entite authentif iante avec 

5 une probability £gale k 2~ k , en choisissant un entier 
y, un 616ment e et en calculant x comme dans l'£tape 
d) . Comme on peut prouver que, si le probl&me de la 
factorisation est difficile, il ne peut 
substantiellement am£liorer cette probability, il 

10 suffit de r£p§ter t fois le protocole de base pour 
obtenir un niveau de s£curite egal a 1- (1/u) £=1-2"** . 

Afin de diminuer le nombre de bits 
transmis, les auteurs du protocole ont sugg6r6 
d'envoyer a l'etape a) 1 1 engagement : c=h{x) oCi h est 

15 une fonction pseudo-al§atoire. Liquation de 
verification de l'ytape d) devient alors : 
c=h(y 2 J"] Vj (mod n) ) 

Afin de conserver un niveau de s£curit§ 
du protocole de base 6gal a l-2~ k , il est n^cessaire, 
20 toutes choses ygales par ailleurs, que la longueur de c 
soit au moins de 128 bits. 

Dans le protocole modifiy selon 
1' invention, la longueur de c est r£duite par exemple k 

25 70 bits et cette reduction est compens£e par une 
augmentation de la longueur de e de trois bits 
seulement. Une autre possibility est de choisir 69 bits 
pour c et quatre bits d 1 augmentation pour e. II peut 
alors etre d£montre que le niveau de security du 

30 protocole de base ainsi modifiy reste egal a l-2~*. On 
a ainsi r6duit le nombre total de bits transmis de 55 
bits. Si l'on prend £=8 et t=5, alors ce nombre total 
est ygal a : 70+ (8 + 3) +512=593 au lieu de 128+8+512=648 
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avec des. engagements de 128 bits, soit un gain 
d f environ 8,5%. 

Cependant/ un inconvenient de l 1 invention 
appliqufee k ce protocole d' identification est qu'elle 

5 implique un plus grand nombre de secrets, puisque la 
longueur de e est pr£cis6ment egale k ce nombre, a 
savoir k. De plus, le nombre de multiplications 
suppl&nentaires k effectuer par chacune des entit6s 
augmente proportionnellement de fagon importante, et ce 

10 d'autant plus que k est choisi petit, Ainsi, 
l 1 invention comporte-t-elle dans ce cas des avantages 
et des inconv^nients . 

L 1 invention qui vient d'etre decrite porte 

15 sur une authentif ication d' entity. Mais 1' invention, 
s 1 applique k d'autres sch§mas comme 1' authentif ication 
de messages et la signature num^rique de messages. 

Dans les sch£mas d' authentif ication de 
messages et de signature numerique de messages, 

20 I 1 entity k authentif ier, en plus de prouver son 
identity, attache cette identite a un message donn§. 
Cela se passe de maniere interactive dans les sch&mas 
d* authentif ication de message et de mani&re non 
interactive dans les sch6mas de signature de message. 

25 L* invention est susceptible de s'appliquer surtout aux 
sch§mas d' authentif ication de messages derives de 
protocoles d ? identification k connaissance nulle (en 
particulier les trois protocoles pr6cit£s) . 

Le fait que 1' invention s' applique ou non a 

30 ces sch£mas depend de la fagon exacte dont ils sont 
d£riv§s du protocole d f identification initial. La fagon 
classique consiste a faire figurer le message M dans 
les parametres y de la fonction pseudo-al£atoire h, ce 
qui donne : 

35 c=h{x,M) au lieu de c=h(x). 
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Dans les schemas d' authentif ication de 
messages, le reste du protocole ne diff£re pas, k 
I 1 adaptation evidente pres de 1' operation d) de 
verification. Dans les schemas de signature, pour 
lesquels 1' entity signataire n'intervient pas dans les 
etapes a) et b) , on choisit e=c, ce qui, a priori, 
enl§ve de l'int6ret a 1' invention. Pour les deux types 
de schemas, il y a de toute fagon la crainte que, si c 
est inf^rieur a 128 bits, alors 1' entity a authentif ier 
ne soit capable, pour un nombre x issu du protocole, de 
trouver deux messages distincts M et M 1 aboutissant & 
la m£me valeur de c. 

Si l'on se trouve dans un environnement oft 
l'on n'a pas cette crainte (soit que la mise en oeuvre 
du protocole dans le dispositif de securite rende cette 
attaque impossible, soit que l'on considere que les 
entites & authentifier sont dignes de confiance soit 
encore qu'une telle attaque serait sans int6r§t pour 
eux), alors 1' invention s' applique. 

De fagon gen<§rale, 1 'application de 
1' invention a d'autres schemas que des protocoles 
d' identification est possible, mais depend des 
specifications exactes de ces schemas ainsi que de leur 
realisation pratique. 

A titre d'exemple, le schema 

d' authentif ication de message d£riv£ du protocole de 
SCHNORR est le suivant : 

a) l'entite a authentifier choisit au hasard un 
entier r dans {l..g}, calcule x=ot r (mod p) , puis 
c=h[x,M) et envoie c a l'entite authentif iante, 

b) l'entit§ authentif iante choisit au hasard un 
element e dans {0..2*-!} et l'envoie a l'entite i 
authentifier, 

c) l'entite a authentifier calcule y=r+se (mod g) et 
envoie y a l'entite authentif iante, 
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d) 1' entity authentif iante controle que : 
c=h(ayv^{mod p),M) . 

Dans un environnement ou ce schema peut 
§tre raodifi6 selon 1* invention, alors le gain est 
exactement le m§me que pour le protocole 
d* identification modifi6. 
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REVINDICATIONS 

1. ProcedS d f authentif ication a nombre 
reduit de bits transmis, entre une premiere entity dite 
a authentifier et une seconde entity dite 
authentifiante, ce proc^de comprenant les operations 
suivantes : 

a) 1' entity a authentifier choisit au hasard un 
(des) parametre(s) r, calcule un (des) nombre (s) 
appele(s) engagement (s) c fonction(s) du (des) 
paramdtre(s) r et envoie cet (ces) engagement (s) 
c & l 1 entity authentifiante, cet (ces) 
engagement (s) comprenant un certain nombre de 
bits, 

b) l f entity authentifiante regoit le (ou les) 
engagement (s) c, choisit au hasard un nombre e 
dans un certain ensemble, ce nombre etant appel6 
"£16ment" et ayant un certain nombre de bits et 
envoie cet §16ment e k 1' entity k authentifier, 

c) l'entite k authentifier recoit l'felfement e, 
effectue un (des) calcul(s) utilisant cet 61£ment 
e et envoie le (les) resultat(s) y a l'entit§ 
authentifiante, 

d) l'entite authentifiante regoit le r£sultat y, 
effectue un calcul utilisant le (les) r£sultat(s) 
y et verifie que ce calcul redonne le (les) 
engagement (s) recu(s) c auquel cas la premiere 
entity est authentifiee ; 

un niveau de securite egal a 1 - — pouvant §tre 

u 

d£fini pour cette authentif ication, a supposer que le 
(les) engagement (s) c possede(nt) un certain nombre 
minimum N de bits et que l f £l§ment e fait partie d f un 
certain ensemble a u elements et possede un certain 
nombre k de bits, 
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ce proceed etant caracterise par le fait que : 

le nombre de bits de (des) engagement (s) c est 
pris tr£s infSrieur a N ; 

l 1 ensemble dans lequel est choisi . 1 ' element e est 
pris un peu plus grand, ce qui se traduit par un 
nombre de bits de 1' element e un peu superieur & 
k ; 

le niveau de securite restant alors le meme. 

2. Procfede d' authentif ication selon la 
revendication 1, comprenant les operations suivantes : 

a) . l'entite £ authentifier choisit au hasard un 

entier r compris entre 1 et un nombre q et cal- 
cule un nombre x egal & a r (modulo p) ou a est* un 
entier appeie base tel que - 1 (modulo p) , et 
ou q est soit un nombre premier divisant p-1 soit 
egal ci p-1 oil p est un grand nombre premier ; 
1* entity k authentifier envoie une fonction 
c=h(x) du nombre x ou h est une fonction 
pseudo-aleatoire) , le nombre envoys c constituant 
1 1 engagement, 

b) . l'entite authentif iante B choisit au hasard un 

element e ayant un certain nombre de bits et 
envoie cet element 3 l'entite a authentifier, 

c) . l'entite & authentifier calcule un nombre y 6gal 

& r + s.e (modulo g) , ou s est la cle secrete de 
l'entite a authentifier, s etant un entier 
compris entre 1 et g, et envoie le nombre y & 
l f entit£ authentif iante, 

d) . l'entite authentif iante regoit le nombre y, 

calcule aY v e (modulo p) ou v est la cle publique 
de l'entite £ authentifier, soit v=a~ s (modulo p) 
et verifie c^h(aYv e modulo p) ) ; 

un niveau de securite egal a 1 - \ pouvant §tre defini 

2 

en supposant pour 1' engagement c un nombre minimum de 
bits egal a 128 et pour 1' element e un nombre de bits 
egal a k, 
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le proc£de etant caracterise par le fait que le nombre 
de bits de 1' engagement c est inf&rieur a 128 de 
plusieurs dizaines d'unites et le nombre de bits de 
l 1 element e est superieur de quelques unites au nombre 
k, le niveau de s6curite restant le raeme. 

3. Proofed^ d' authentif ication selon la 
revendication 2, caracterise par le fait que le nombre 
de bits de 1' engagement c est voisin de 70 et le nombre 
de bits de 1' element e est voisin de 43, le niveau de 
securite obtenu etant le meme qu'avec un engagement c 
de 128 bits et un element e de 4 0 bits. 

4. Procede d f authentif ication selon la 
revendication 2, caracterise par le fait que, dans 
1' operation c) 1' entity a authentif ier calcule un 
nombre y 6gal k r + se. 

5. Procede d f authentif ication selon la 
revendication 1 dans lequel : 

a) . l'entite & authentifier choisit au hasard un 

entier r compris entre 0 et n, oh n est un grand 
entier non premier et calcule x = r v (modulo n) 
oil u est un entier ayant une certaine longueur et 
envoie k 1' entite authentif iante le nombre c=h(x) 
ou h est une fonction pseudo-aieatoire, le nombre 
envoye c constituant 1 1 engagement . 

b) . 1' entite authentif iante choisit au hasard un 

element e compris entre 0 et u-I et envoie e a 
l'entite a authentifier, 

c) . l'entite k authentifier calcule y=rs e (modulo n) 

ou s est la cle secrete de l'entite a 
authentifier telle que s u I=l (modulo n) , oti I est 
la cie publique de l'entite a authentifier, et 
l'entite a authentifier envoie le nombre y a 
l'entite authentif iante, 
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d) . l'entite authentif iante regoit le nombre y, 
calcule h {y u I e modulo n) ) et v6rifie que I'on 
retrouve 1 1 engagement, 

un niveau de security 6gal £ 1 - ^ pouvant etre dfefini 

5 en supposant pour 1' engagement c un nombre minimum de 
bits (N) 6gal & 128 et en supposant pour l v element e un 
nombre de bits fegal ci k, 

ce proced6 etant caract£rise par le fait que le nombre 
de bits de l f engagement c est infferieur k 128 de 
10 plusieurs dizaines d'unit6s, et le nombre de bits de 
1' element e est superieur de quelques unites au nombre 
k, le niveau de s£curit£ restant le ra£me. 

6. Proc6d£ d 1 authentif ication selon la 
revendication 5, caracteris£ par le fait que le nombre 

15 de bits de l f engagement c est voisin de 70 et le nombre 
de bits de 1* element e voisin de 43, le niveau de 
securite obtenu etant le meme qu'avecun engagement de 
128 bits et un Element e de 40 bits. 

7. Proc6de d f authentif ication selon la 
20 revendication 1/ comprenant les operations suivantes : 

a) . l'entite a authentif ier choisit au has'ard un 

entier r compris entre 0 et n ou n est un grand 
entier non premier, calcule x=r 2 (modulo n) et 
envoie k 1' entity authentif iante le nombre c-h (x) 
25 oh h est une fonction pseudo-aieatoire, le nombre 

envoys c constituant 1 f engagement, 

b) . l'entite authentif iante choisit au hasard un 

element e comprenant un certain nombre de bits et 
envoie e a 1 T entity a authentif ier , 

30 c) . l'entite a authentif ier calcule le produit par r 
d'un produit de valeurs Sj ou l f ensemble des Sj 
pour toute valeur de j constitue la cie secrete 
de l'entite a authentif ier, et l'entite a 
authentifier envoie le resultat y de ce calcul k 

35 l f c?I?tite authentif iante, 
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d) . l'entite authentif iante calcule la valeur du 
produit par y 2 du produit des vj (modulo n) , 
applique au resultat ainsi trouve la fonction h 
et v^rifie que le resultat trouve s'identifie k 
1 1 engagement c, 

un niveau de sfecurite 6gal a l-^|r pouvant etre defini a 

supposer, pour 1' engagement c, un nornbre minimum de 
bits egal a 128 et pour l 1 element e un nornbre de bits 
egal a k, en r§petant t fois les operations a) ad), 
ce proc§d6 §tant caract6ris6 par le fait que le nornbre 
de bits de l f engagement c est inf6rieur k 128 de 
plusieurs dizaines de bits et le nornbre de bits de 
1* element e est sup&rieur de quelques unites au nornbre 
k, le niveau de s£curit& restant le mime. 

8. Proc6d§ d' authentif ication selon la 
revendication 7, caracteris£ par le fait que le nornbre 
de bits de 1' engagement c est voisin de 70, le nornbre k 
de bits de l'£16ment e voisin de 11 et le nornbre t 
voisin de 5. 

9. Proc6d& d r authentif ication selon I'une 
quelconque des revendications 1 & 7, caracteris£ par le 
fait que l 1 entity authentif iante effectue en outre une 
authentif ication d'un message M 6mis par l'entitfe k 
authentif ier, 1' entity a authentif ier calculant dans 
1' operation a un engagement c egal a h(x,M) ou M est le 
message a authentif ier, et 1 ? entity authentif iante 
v6rifiant, dans l'op£ration d) que la fonction h du 
calcul qu'elle effectue et du message M qu'elle a recu 
est identique a 1' engagement c. 

10. Proc£de selon la revendication 1, 
caract6rise par le fait qu'il comprend des echanges 
suppl£mentaires entre la premiere et la seconde entites 
consistant chacun en l ! §change d'un element e 
supplementaire et d'un resultat y supplSmentaire. 



